Trojan horse Generic9.BEDR

gst1984 · 01.03.2008, 17:07

Hallo BataAlexander,

gut das sich noch wer meldet

, bin am verzweifeln. Hab deine befehle so ausgeführt mit Notepad usw. allerdings wenn ich Start/Ausführen/Notepad/e´nter eingegeben habe öffnet sich der leere Editor, so richtig?? Hab dann deine vorgaben einfeügt und auf dem Destop gespeichert. dann die Datei auf Combofix gezogen und schon fing es an, allerdings keine Nachfrage nach Neustart des Rechners. Nach dem Combofix die Log Datei angelegt hatte kam von SpyBoot lauter Nachfragen ob diverse Programme die Registry ändern dürfen, soll ich ablehnen oder erlauben??

Danke schonmal

Gst1984

BataAlexander · 01.03.2008, 17:14

Erlauben, erlauben, erlauben.
Wie schon bei der Combofix Anleitung geschrieben, alle Guards, Tea Timer eingeschlossen, deaktivieren.

gst1984 · 01.03.2008, 17:21

So hier hier das Logfile von Combofix

ComboFix 08-02-25.3 - Gerhard 2008-03-01 17:18:25.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.355 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Gerhard\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\0
C:\WINDOWS\system\smvss.exe
C:\WINDOWS\system32\0
C:\WINDOWS\system32\HXA1X43I.exe
C:\WINDOWS\Tasks\At1.job"
C:\WINDOWS\Tasks\At10.job"
C:\WINDOWS\Tasks\At11.job"
C:\WINDOWS\Tasks\At12.job"
C:\WINDOWS\Tasks\At13.job"
C:\WINDOWS\Tasks\At14.job"
C:\WINDOWS\Tasks\At15.job"
C:\WINDOWS\Tasks\At16.job"
C:\WINDOWS\Tasks\At17.job"
C:\WINDOWS\Tasks\At18.job"
C:\WINDOWS\Tasks\At19.job"
C:\WINDOWS\Tasks\At2.job"
C:\WINDOWS\Tasks\At20.job"
C:\WINDOWS\Tasks\At21.job"
C:\WINDOWS\Tasks\At22.job"
C:\WINDOWS\Tasks\At23.job"
C:\WINDOWS\Tasks\At24.job"
C:\WINDOWS\Tasks\At3.job"
C:\WINDOWS\Tasks\At4.job"
C:\WINDOWS\Tasks\At5.job"
C:\WINDOWS\Tasks\At6.job"
C:\WINDOWS\Tasks\At7.job"
C:\WINDOWS\Tasks\At8.job"
C:\WINDOWS\Tasks\At9.job"
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-01 bis 2008-03-01 ))))))))))))))))))))))))))))))
.

2008-02-29 13:59 . 2008-02-29 13:59 <DIR> d-------- C:\Programme\CCleaner
2008-02-28 17:38 . 2008-02-28 17:40 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 20:04 . 2008-02-27 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\DivX
2008-02-26 14:06 . 2008-02-26 14:09 <DIR> dr------- C:\Dokumente und Einstellungen\Winfried\Eigene Dateien
2008-02-25 09:42 . 2008-02-25 09:40 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-25 09:42 . 2008-02-25 09:42 3,448 --a------ C:\WINDOWS\unins000.dat
2008-02-22 15:59 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-02-22 15:09 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\HEAD
2008-02-19 15:49 . 2008-02-19 15:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-19 14:54 . 2008-02-25 09:43 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-19 14:54 . 2008-03-01 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 08:38 . 2008-02-19 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\DivX
2008-02-18 16:51 . 2008-02-18 16:51 <DIR> dr------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Brother
2008-02-17 16:17 . 2008-02-17 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Talkback
2008-02-17 12:32 . 2008-02-17 12:32 1,142 --a------ C:\WINDOWS\mozver.dat
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Programme\DivX
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Talkback
2008-02-17 12:30 . 2007-04-23 01:15 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-02-17 12:30 . 2007-04-23 01:15 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-02-17 12:29 . 2008-02-17 12:29 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-11 09:19 . 2008-02-11 09:19 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\ElsterFormular
2008-02-10 17:29 . 2008-02-10 17:55 332 --a------ C:\WINDOWS\desctemp.dat
2008-02-07 10:33 . 2008-02-07 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-02-07 10:30 . 2008-02-07 10:30 <DIR> d-------- C:\Programme\IVT Corporation
2008-02-04 09:54 . 2008-02-22 15:16 80 --a------ C:\WINDOWS\SwLoader.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-01 14:14 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\AVG7
2008-02-29 18:27 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\AVG7
2008-02-29 17:38 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\AVG7
2008-02-26 13:34 --------- d-----w C:\Programme\LIDL Fotoservice
2008-02-20 14:11 --------- d-----w C:\Programme\Microsoft Games
2008-02-20 13:59 --------- d-----w C:\Programme\eMule.de 0.46c v17
2008-02-11 08:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-11 08:19 --------- d-----w C:\Programme\ElsterFormular
2008-02-06 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-30 11:07 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Nero
2008-01-27 10:15 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\CyberLink
2008-01-21 20:48 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\Nero
2008-01-21 10:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-01-21 10:00 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Nero
2008-01-21 09:58 --------- d-----w C:\Programme\Nero
2008-01-21 09:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-21 09:54 --------- d-----w C:\Programme\Ahead
2008-01-19 12:29 --------- d-----w C:\Programme\DreamChess
2008-01-16 17:43 --------- d-----w C:\Programme\bwin
2008-01-14 11:32 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\AdobeUM
2008-01-08 15:00 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\vlc
2008-01-04 12:19 --------- d-----w C:\Programme\MPL-PocketTool
2008-01-03 15:46 --------- d-----w C:\Programme\poc
2008-01-02 19:19 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\AdobeUM
2007-06-20 13:58 288 ----a-w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\mdb.bin
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 05:59 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-10-23 14:18 202024]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 06:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 06:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 06:19 86016]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 16:42 933888]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 15:51 36864]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2003-09-20 20:23 45056]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 20:06 579072]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 03:15 75520]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-10 14:04 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-09 10:36 286720]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 08:51 1836328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 07:51 219136]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tkmedia.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tksock.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II Trial\\EMPIRES2.EXE"=

S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 11:50]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 17:18:56
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-01 17:19:19
ComboFix-quarantined-files.txt 2008-03-01 16:19:12
ComboFix2.txt 2008-02-29 14:42:20

mfg gst1984

gst1984 · 01.03.2008, 18:01

Hab jetzt das gleiche nochmal gemacht und Registryänderungen erlaubt, nach Neustart des Rechners sind die LOKALEN EINSTELLUNGEN/TEMP endlich sauber, sollte es das gewesen sein?? Hab noch mal das letzte Logfile von Combofix:

ComboFix 08-02-25.3 - Gerhard 2008-03-01 17:48:23.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.386 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Gerhard\Desktop\ComboFix.exe
Command switches used :: C:\Dokumente und Einstellungen\Gerhard\Desktop\CFScript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\0
C:\WINDOWS\system\smvss.exe
C:\WINDOWS\system32\0
C:\WINDOWS\system32\HXA1X43I.exe
C:\WINDOWS\Tasks\At1.job"
C:\WINDOWS\Tasks\At10.job"
C:\WINDOWS\Tasks\At11.job"
C:\WINDOWS\Tasks\At12.job"
C:\WINDOWS\Tasks\At13.job"
C:\WINDOWS\Tasks\At14.job"
C:\WINDOWS\Tasks\At15.job"
C:\WINDOWS\Tasks\At16.job"
C:\WINDOWS\Tasks\At17.job"
C:\WINDOWS\Tasks\At18.job"
C:\WINDOWS\Tasks\At19.job"
C:\WINDOWS\Tasks\At2.job"
C:\WINDOWS\Tasks\At20.job"
C:\WINDOWS\Tasks\At21.job"
C:\WINDOWS\Tasks\At22.job"
C:\WINDOWS\Tasks\At23.job"
C:\WINDOWS\Tasks\At24.job"
C:\WINDOWS\Tasks\At3.job"
C:\WINDOWS\Tasks\At4.job"
C:\WINDOWS\Tasks\At5.job"
C:\WINDOWS\Tasks\At6.job"
C:\WINDOWS\Tasks\At7.job"
C:\WINDOWS\Tasks\At8.job"
C:\WINDOWS\Tasks\At9.job"
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-01 bis 2008-03-01 ))))))))))))))))))))))))))))))
.

2008-02-29 13:59 . 2008-02-29 13:59 <DIR> d-------- C:\Programme\CCleaner
2008-02-28 17:38 . 2008-02-28 17:40 <DIR> d-------- C:\Programme\ICQ6
2008-02-27 20:04 . 2008-02-27 20:04 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\DivX
2008-02-26 14:06 . 2008-02-26 14:09 <DIR> dr------- C:\Dokumente und Einstellungen\Winfried\Eigene Dateien
2008-02-25 09:42 . 2008-02-25 09:40 691,545 --a------ C:\WINDOWS\unins000.exe
2008-02-25 09:42 . 2008-02-25 09:42 3,448 --a------ C:\WINDOWS\unins000.dat
2008-02-22 15:59 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\AviSynth 2.5
2008-02-22 15:09 . 2008-02-22 15:09 <DIR> d-------- C:\Programme\HEAD
2008-02-19 15:49 . 2008-02-19 15:55 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-02-19 14:54 . 2008-02-25 09:43 <DIR> d-------- C:\Programme\Spybot - Search & Destroy
2008-02-19 14:54 . 2008-03-01 15:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-02-19 08:38 . 2008-02-19 08:38 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\DivX
2008-02-18 16:51 . 2008-02-18 16:51 <DIR> dr------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Brother
2008-02-17 16:17 . 2008-02-17 16:17 <DIR> d-------- C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Talkback
2008-02-17 12:32 . 2008-02-17 12:32 1,142 --a------ C:\WINDOWS\mozver.dat
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Programme\DivX
2008-02-17 12:30 . 2008-02-17 12:30 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Talkback
2008-02-17 12:30 . 2007-04-23 01:15 118,520 --------- C:\WINDOWS\system32\pxinsi64.exe
2008-02-17 12:30 . 2007-04-23 01:15 116,472 --------- C:\WINDOWS\system32\pxcpyi64.exe
2008-02-17 12:29 . 2008-02-17 12:29 0 --a------ C:\WINDOWS\nsreg.dat
2008-02-11 09:19 . 2008-02-11 09:19 <DIR> d-------- C:\Dokumente und Einstellungen\Gerhard\ElsterFormular
2008-02-10 17:29 . 2008-02-10 17:55 332 --a------ C:\WINDOWS\desctemp.dat
2008-02-07 10:33 . 2008-02-07 10:33 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Bluetooth
2008-02-07 10:30 . 2008-02-07 10:30 <DIR> d-------- C:\Programme\IVT Corporation
2008-02-04 09:54 . 2008-02-22 15:16 80 --a------ C:\WINDOWS\SwLoader.INI

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-01 16:41 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\AVG7
2008-02-29 18:27 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\AVG7
2008-02-29 17:38 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\AVG7
2008-02-26 13:34 --------- d-----w C:\Programme\LIDL Fotoservice
2008-02-20 14:11 --------- d-----w C:\Programme\Microsoft Games
2008-02-20 13:59 --------- d-----w C:\Programme\eMule.de 0.46c v17
2008-02-11 08:19 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-02-11 08:19 --------- d-----w C:\Programme\ElsterFormular
2008-02-06 21:53 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-30 11:07 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\Nero
2008-01-27 10:15 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\CyberLink
2008-01-21 20:48 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\Nero
2008-01-21 10:00 --------- d-----w C:\Programme\Gemeinsame Dateien\Nero
2008-01-21 10:00 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\Nero
2008-01-21 09:58 --------- d-----w C:\Programme\Nero
2008-01-21 09:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nero
2008-01-21 09:54 --------- d-----w C:\Programme\Ahead
2008-01-19 12:29 --------- d-----w C:\Programme\DreamChess
2008-01-16 17:43 --------- d-----w C:\Programme\bwin
2008-01-14 11:32 --------- d-----w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\AdobeUM
2008-01-08 15:00 --------- d-----w C:\Dokumente und Einstellungen\Marcel\Anwendungsdaten\vlc
2008-01-04 12:19 --------- d-----w C:\Programme\MPL-PocketTool
2008-01-03 15:46 --------- d-----w C:\Programme\poc
2008-01-02 19:19 --------- d-----w C:\Dokumente und Einstellungen\Elisabeth\Anwendungsdaten\AdobeUM
2007-06-20 13:58 288 ----a-w C:\Dokumente und Einstellungen\Gerhard\Anwendungsdaten\mdb.bin
2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-27 05:59 68856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe" [2007-10-23 14:18 202024]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SkyTel"="SkyTel.EXE" [2006-05-16 11:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2006-08-14 07:00 16050176 C:\WINDOWS\RTHDCPL.exe]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-07-12 06:19 7626752]
"nwiz"="nwiz.exe" [2006-07-12 06:19 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-07-12 06:19 86016]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 09:22 155648]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-05-17 16:42 933888]
"StatusClient"="C:\Programme\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe" [2002-12-16 15:51 36864]
"ElbyCheckAnyDVD"="C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" [2003-09-20 20:23 45056]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-20 20:06 579072]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_12\bin\jusched.exe" [2007-05-02 03:15 75520]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-08-10 14:04 180269]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-09-09 10:36 286720]
"Adobe Photo Downloader"="C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-16 11:45 63712]
"NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-09-20 08:51 1836328]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-10-24 07:51 219136]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\NVIDIA Corporation\\NetworkAccessManager\\Apache Group\\Apache2\\bin\\Apache.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tkmedia.exe"=
"C:\\Programme\\AGFEO\\Tk-Suite-Basic\\tkserver\\tksock.exe"=
"C:\\Programme\\Hewlett-Packard\\Toolbox2.0\\Javasoft\\JRE\\1.3.1\\bin\\javaw.exe"=
"C:\\Programme\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programme\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programme\\eMule.de 0.46c v17\\emule.exe"=
"C:\\Programme\\ICQ6\\ICQ.exe"=
"C:\\Programme\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
"C:\\Programme\\Microsoft Games\\Age of Empires II Trial\\EMPIRES2.EXE"=

S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys [2004-10-15 11:50]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-01 17:50:05
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-01 17:50:30
ComboFix-quarantined-files.txt 2008-03-01 16:50:22
ComboFix2.txt 2008-03-01 16:19:20
ComboFix3.txt 2008-02-29 14:42:20

Habe auch nochmal ein HJT Logfile gemacht, falls benötigt:

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]

BataAlexander · 03.03.2008, 17:59

So, das Log ist für mich so i.O.
Den Einsatz von

Zitat:

C:\Programme\eMule.de 0.46c v17

solltest Du überdenken.
Einen (hoffentlich) abschließenden Scan mit Sasw.

01.03.2008, 17:14	#17
BataAlexander > MalwareDB	Trojan horse Generic9.BEDR Erlauben, erlauben, erlauben. Wie schon bei der Combofix Anleitung geschrieben, alle Guards, Tea Timer eingeschlossen, deaktivieren. __________________

Trojan horse Generic9.BEDR

Plagegeister aller Art und deren Bekämpfung: Trojan horse Generic9.BEDR